Alerta de Segurança Debian
DSA-158-1 gaim -- execução arbitrária de programa
- Data do Alerta:
- 27 Ago 2002
- Pacotes Afetados:
- gaim
- Vulnerável:
- Sim
- Referência à base de dados de segurança:
- Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 5574.
No dicionário CVE do Mitre: CVE-2002-0989. - Informações adicionais:
-
Os desenvolvedores do Gaim, um cliente de mensagens instantâneas que combina várias redes diferentes, encontraram um vulnerabilidade no código de tratamento de hyperlink. O comando do navegador 'Manual' passa uma string não confiável ao shell, sem escape ou aspas confiáveis, permitindo que um atacante execute comandos arbitrários na máquina do usuário. Infelizmente, o Gaim não exibe o hyperlink antes do usuário clicar nele. Usuários que usam outros comandos de navegadores integrados não estão vulneráveis.
Esse problema foi corrigido na versão 0.58-2.2 para a atual distribuição estável (woody) e na versão 0.59.1-2 para a distribuição instável (sid). A antiga distribuição (potato) não foi afetada uma vez que não contém o programa Gaim.
A versão corrigida do Gaim não passa mais o comando do usuário do navegador 'Manual' ao shell. Comandos que contém %s entre aspas precisaram ser corrigidos, a até que não contenham mais aspas. O comando do navegador 'Manual' pode ser editado no painel "General" na caixa de diálogo "Preferences" ou no menu "Tools", opção "Preferences".
Nós recomendamos que você atualize seu pacote gaim imediatamente.
- Corrigido em:
-
Debian GNU/Linux 3.0 (woody)
- Fonte:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2.dsc
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2.diff.gz
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58.orig.tar.gz
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_alpha.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_alpha.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_alpha.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_arm.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_arm.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_arm.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_i386.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_i386.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_i386.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_ia64.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_ia64.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_ia64.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_ia64.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_hppa.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_hppa.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_hppa.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_m68k.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_m68k.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_m68k.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_mips.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_mips.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_mips.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_mipsel.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_mipsel.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_mipsel.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_powerpc.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_powerpc.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_powerpc.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_s390.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_s390.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_s390.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/g/gaim/gaim_0.58-2.2_sparc.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_sparc.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-gnome_0.58-2.2_sparc.deb
- http://security.debian.org/pool/updates/main/g/gaim/gaim-common_0.58-2.2_sparc.deb
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.